【技术实现步骤摘要】
网络攻击行为检测方法、装置及可读存储介质
本申请涉及网络安全技术,特别是涉及一种网络攻击行为检测方法、装置及可读存储介质。
技术介绍
随着网络(Web)2.0时代的到来,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,将各种应用架设在Web平台上,因此出现了大量的针对Web应用的漏洞攻击,如结构化查询语言(StructuredQueryLanguage,SQL)注入、跨站脚本攻击(CrossSiteScripting,XSS)、服务端请求伪造攻击(Server-SideRequestForgery,SSRF)等,且随着攻击者的职业化程度越来越高,针对Web应用的攻击手段和技术日趋高明、隐蔽,致使Web应用始终处在高风险环境下。目前Web入侵检测系统(WebIntrusionDetectionSystem,WebIDS)等基于流量数据包的威胁检测方法是针对Web攻击常用的检测手段,其大多通过旁路接入双向(客户端到服务器和服务器到客户端)流量数据包,通过在匹配引擎上设置一系列基于HTTP请求报文和HTTP响应报...
【技术保护点】
1.一种网络攻击行为检测方法,其特征在于,包括:/n获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;/n获取包含至少一个黑名单域名的预设的黑名单,根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;/n针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;/n如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数...
【技术特征摘要】
1.一种网络攻击行为检测方法,其特征在于,包括:
获取预设时间范围内的域名系统DNS服务器中的日志文件和超文本传输协议HTTP报文数据;
获取包含至少一个黑名单域名的预设的黑名单,根据每个所述黑名单域名,判断所述日志文件中是否存在风险域名;如果存在风险域名,获取所述日志文件中的每个所述风险域名;所述风险域名中,包含所述黑名单中的至少一个黑名单域名;
针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率;
如果存在包含于该HTTP报文数据的几率大于预设的几率阈值的风险域名,将该HTTP报文数据作为攻击检测结果存储。
2.根据权利要求1所述的方法,其特征在于,所述针对每个HTTP报文数据,利用该HTTP报文数据与每个风险域名进行比对,计算该HTTP报文数据包含所比对的风险域名的几率的步骤,包括:
针对每个风险域名,计算该风险域名与该HTTP报文数据的子串编辑距离;所述子串编辑距离为,该HTTP报文数据中的每个与该风险域名字符个数相同的子报文字符串与该风险域名的编辑距离;
根据所述子串编辑距离与该风险域名的字符个数,计算该风险域名包含于该HTTP报文数据的几率。
3.根据权利要求2所述的方法,其特征在于,所述计算该风险域名与该HTTP报文数据的子串编辑距离的步骤包括:
根据该风险域名的字符个数,从该HTTP报文数据中获取至少一个子报文字符串;所述子报文字符串为HTTP报文数据中截取的子字符串;每个所述子报文字符串,与该风险域名的字符个数相同;
根据该风险域名与每个子报文字符串,得到每个子报文字符串对应的编辑距离;
将每个子报文字符串对应的编辑距离中数值最小的,作为该风险域名与该HTTP报文数据的子串编辑距离。
4.根据权利要求1所述的方法,其特征在于,如果所述日志文件不存在所述风险域名,该方法还包括:
获取至少一个预设的白名单域名,根据所述白名单域名,判断所述日志文件中是否存在灰色域名,如果是,获取所述日志文件中的每个所述灰色域名;所述灰色域名中,不包含所述黑名单域名,也不包含所述白名单域名;
逐一判断每个所述灰色域名是否为所述风险域名;
如果所述该灰色域名是风险域名,则继续执行所述针对每个HTTP报文数据,利用该HTTP报文数据与获取的每个风险域名逐一进行比对,计算该HTTP报文数据包含所比对的风险域名的几率的步骤。
5.一种网络攻击行为检测装置,其特征在于,包括:
获取模块,用于获取预设时间范围内...
【专利技术属性】
技术研发人员:卢鑫,马帅,陈令祥,胡星儒,胡庆超,于朝臣,
申请(专利权)人:北京京东尚科信息技术有限公司,北京京东世纪贸易有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。